Kaya ito ay isang uri ng isang pangkaraniwang tanong, ngunit ako ay naghahanap ng payo para sa pinakamahusay na paraan upang ma-secure ang isang VPS (kamakailan ay pumili ng isang medyo malakas na VPS para sa mura sa cyber monday).

Kaya't ang isyu na pinapasukan ko ay kapag nag-install ka ng docker at nag-deploy ng isang imahe na may opsyon na `-p`, lumilikha ito ng kaugnay na panuntunan sa nftables (tumatakbo sa Debian 11). Ang aking orihinal na plano ay itapon ang ufw, ipasa lamang ang 80/443 at i-reverse ang mga bagay na proxy na gusto kong malantad sa publiko (napakakaunti), at lahat ng iba ay maa-access lamang sa pamamagitan ng wireguard.

Nag-setup ako ng wireguard, ginawa iyon at ang lahat ay nag-deploy ng isang syncthing docker (upang i-backup ang ilang mga file mula sa isang on-prem box). Hindi ako gumawa ng panuntunan sa ufw para sa UI, ngunit nagawa kong mag-browse dito at doon ako nagsimulang magsaliksik at nalaman na ang opsyong `-p` ay gumagawa ng mga nft na panuntunang iyon. Hindi ito ang gusto ko; Gusto kong ang syncthing UI ay magagamit lamang sa aking mga kliyente na konektado sa VPS na ito gamit ang wireguard, ngunit hindi ako sigurado kung paano ito makakamit.

Anumang mga mungkahi? Paano ka nagpapatakbo ng mga docker sa isang VPS nang hindi inilalantad ang lahat ng ito sa internet?